WAF製品の比較16選！選び方や導入のポイントも解説

WAF製品の紹介をご覧になりたいかたはこちらからどうぞ

ボクシルおすすめWAF 【Sponsored】

BLUE Sphere
無料トライアル：◯ フリープラン：✕ 利用料金：45,000円～
・セキュリティ対策に加えて、サイバーセキュリティ保険も付帯 ・あらゆるぜい弱性や攻撃にも対応する機能を搭載 ・専門家による個別チューニングで高性能なWAF
製品資料をDL

WAFとは

それではWAFの概要を簡単に紹介します。

下の記事では本記事以上にていねいにWAFを紹介しています。詳しく知りたい方は下の記事をぜひご覧ください。

WAFは文字どおり、Webアプリケーションにおいて活躍するセキュリティです。
Webアプリケーションといってもスマホのようなアプリを指すのではなく、いわゆるWebサイトのことをいいます。
Webサイトとユーザー間のぜい弱性につけこんで行われる不正なアクセスなどを、WAFは防ぎます。

---

では、実際にどのようなWAF製品があるのかでしょうか。
ここからは、よく利用されているWAF製品について見ていきましょう。

【厳選】WAF製品16選

近年導入数が増えているWAFですが、きちんと効果を得るためには最適な製品選びが重要です。
自社に合った製品を見つけるために、タイプによって異なる特徴を理解し、製品の比較ポイントを確認しましょう。

• 国内トップクラスのシェア
• 低価格・高セキュリティを実現
• 業界で唯一サイバー保険を付帯

攻撃遮断くんは、WebサーバやWebサイトへのサイバー攻撃を遮断し、それらの攻撃などの脅威から企業とユーザーを守ります。最短翌営業日から導入が可能で、保守・運用に一切の手間も必要なく利用できるセキュリティサービスです。

国内トップクラスのシェアを持ち、業界で唯一クラウド型WAFにサイバー保険を付帯しているサービスです。

• 直感的なUIで、シンプルな管理機能
• 世界レベルの脅威情報共有基盤
• 月々4,000円～、圧倒的な低コスト

AIONCLOUDは、累積出荷台数15,000台の実績を誇るクラウド型WAFサービスです。ウェブサイトのトラフィックや訪問回数、受けた攻撃などの詳細なステータスをリアルタイムで監視でき、あらゆる攻撃からウェブサイトを保護します。マルウェアを検出した場合は素早い対応で拡大を防止し、脅威を学習することで未知の不正に対してもセキュリティ保護ができます。また、世界40か所のIDCにサービスインフラを保有し、脅威インテリジェントを自動で更新し続けます。

• 単一のコンソールですべてのSophos製品を管理
• Intercept Xとのリアルタイム統合が可能
• 大企業から教育機関まであらゆる環境に適応

Sophos Firewallは、業界初の独自のセキュリティ機能を兼ね備えた次世代ファイアウォールです。専用アプライアンスによる柔軟性、接続性、信頼性を備え、多彩な機種で利用できます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現し、オールインワンでの保護が可能です。大企業や教育機関といったさまざまな環境に対応しており、ユーザーごとの規模感にあわせた機能と価格で利用できるので、コスト削減にもつながります。

• オールインワンでセキュリティ対策
• セキュリティ業務の一部委託が可能、自社の負担を軽減
• 最短3営業日で導入可能

Deep Security（R） IT Protection Serviceは、さまざまなセキュリティ対策をオールインワンで対応するクラウドサービスです。セキュリティルールやシグネチャは毎日配信され、最新の脅威に関する情報は毎週自動で生成・配布されます。一部セキュリティ業務を代行するサービスも用意されており、保護対象サーバーの設定やセキュリティ状況の調査、定例オペレーションなど自社の業務負担の軽減が期待できます。また、オプションでオートスケール機能により追加されたサーバーを保護したり、ログやアラート機能の設定も追加可能です。

• 自動でアップデートされる強力なセキュリティ機能
• WAF以外のセキュリティ対策も搭載
• 一般的なクラウドWAFと比べセキュリティ機能が充実

secuWAF（セキュワフ）は、強力なセキュリティ機能と自動アップデートにより、常に最新の脅威に対応するクラウドWAFです。WAF冗長構成やIPブラックリストなど、一般的なクラウドWAFではオプションとなっているような機能もデフォルトで利用できます。また、WAF以外のセキュリティ対策も選定プランや機能によっては設定可能なため、Webサイトのセキュリティをより磐石なものにします。

• 高い検知率によりあらゆる攻撃を見逃さない
• 未知の攻撃にも対応できる
• メガバンクや大手企業などに導入した豊富な実績あり

CloudCoffeは、世界トップクラスのAI技術を搭載したセキュリティシステムです。WAF機能とIPS機能に加え、サンドボックス機能で、不正アタックや改ざん、ウイルスなどさまざまな脅威やリスクから自社サイトやシステムを守ります。

AIが攻撃パターンと通信パターンを機械学習。AIは進化し続けているため、攻撃が高度化しても検知率が高く、ゼロデイ攻撃や難読化した攻撃だけでなく、未知の攻撃も予測して検知します。

• サイバー攻撃からWebサイトを包括的に守る
• サイバーセキュリティ保険付帯で万一の場合も安心
• 総データ量と平均帯域による従量課金制で料金はリーズナブル

BLUE Sphereは、さまざまなサイバー攻撃を対策し、サイバーセキュリティ保険で万一の事態にも備えられるクラウド型サービスです。

WAF・DDoS防御・改ざん検知・DNS監視など、あらゆるセキュリティ対策をひとつにまとめることで、Webサイトを包括的に守ります。サイバーセキュリティ保険が付帯し、損害賠償や費用損害を補償。また、利用料金は3か月の総データ量と平均帯域で変動するため、コストの無駄もかかりません。

• シグネチャの自動選択・カスタマイズ・新規作成ができる
• 導入から新規ぜい弱性の対応まで手放し運用が可能
• 人によるサポートでAIでカバーできない領域をカバー

WafCharmは、AIとビッグデータを組み合わせたWAF自動運用ツールです。国内500社、5,000サイト以上の企業情報を守ってきた実績で得たビックデータをAIが学習し、Webサイトごとに、AWS WAF／Azure WAFのルールを自動で最適化させます。WAFで漏れた脅威に対しては、数百ものシグネチャ（署名になぞらえた機能やデータ）で再マッチングを行い、攻撃者と認定したIPをブラックリストとして遮断します。

• 短時間でXSS/SQLインジェクション対策完了
• L7 DDoS、IPレピュテーション対策が可能
• 日本語化された見やすいインターフェース

Barracuda Web Application Firewallは、WAFの国内販売台数シェアNo.1の実績を誇るサービスで、構成に合わせて複数の導入方式を選べます。短時間、低価格でWebアプリケーションを脅威から守り、Webサービスのセキュリティを極限まで向上させます。

• 専門アナリストによるアラート分析
• レポートでセキュリティ情報把握
• チューニング設定代行で負荷軽減

マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。

アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。

• Webサイト保護に必要なすべてのセキュリティ機能を提供
• ユーザーフレンドリーな仕様
• データセンターで管理するため災害にも強い

Cloudbricは、保護されていないWebサイトのためのセキュリティサービスです。セキュリティの専門家やITシステムの管理者でなくても使える直観的なユーザーインターフェースを用意しています。

より安心に保護できる無料SSL証明書の提供を開始し、論理演算基盤のエンジンの採用により、高精度な検知と遮断を実現しています。
リーズナブルな価格で高度なセキュリティソリューションを利用できるサービスです。

• ポリシーチューニングが簡単にできる
• 短期間の急激なアクセス増加にも対応可能
• コンテンツキャッシュ機能

SCT SECURE クラウドWAF EXPは、Webアプリケーションへの攻撃やDDoS攻撃を防ぎます。WAFポリシー推奨機能を搭載しており簡単にポリシーチューニングができます。ネットワークが安定しているので短期間の急激なアクセス増加にも対応可能です。WAF機能に加えコンテンツキャッシュ機能を搭載しているため、Webサーバへの負荷が軽減されます。

• NATO指定ベンダーへの供給実績あり
• 工事・運用が不要なクラウドサービス
• オールインワンで幅広い守備範囲を防御

AEGIS Security Systemsは、クラウド型で24時間監視します。クラウドサービスによる防御システムであるため、工事や運用などの作業や追加料金は不要です。独自のノウハウが蓄積されたシグネチャを用いて守備範囲をオールインワンで防御します。

• サイト別に専用WAFサーバーを構築が可能
• 無料トライアル2週間でお試しが可能
• スモールスタートがしやすいプラン設定

WAF BENKEIとは、サーバ・Webサイトをサイバー攻撃から守るクラウド型WAFセキュリティサービスです。従来からあるセキュリティ対策製品とは違い、ハードウェアやサーバの構築が不要で導入がしやすく、また運用の手間もかからないことが最大の特徴です。防御できるサイバー攻撃は、クロスサイトスクリプティング・SQLインジェクション・ディレクトリトラバーサルなど多彩な手口に対応しています。

• 最新のぜい弱性対策を常に反映
• 緊急パッチ対応の軽減
• 明確で安価な利用料金

シマンテック クラウド型WAFは、 SaaS/ASPのサービスで、ウェブアプリケーションファイアウォールの機能を提供しています。SSLサーバ証明書でウェブサイトとの通信を安全に行うようにするだけでなく、情報漏えいを防ぐ手段としてクラウド型のWAFを提供しています。

ウェブサイトセキュリティの強化と予算の平準化というメリットが得られます。

• 強力なボット検知力と動的な攻撃学習能力でWeb攻撃を撃退
• Webのユーザー体験に影響を与えることなくDOS攻撃を排除
• アプリケーションのパフォーマンスを高速化

Incapsulaは、クラウドから高品質のWeb アプリケーション・ファイアウォールを提供しており、Webサイトダウンの機会損失を低減してくれます。PCI DSSレベル1認定を受けたWebアプリケーション・ファイアウォールで、ハッカーやボットを強力に防御します。

また、高品質のコンテンツ・デリバリ・ネットワークが、Web サイトのパフォーマンスを向上させます。

3つの提供形式

WAF製品が提供される形態にはさまざまな種類があります。代表的な3つのタイプのWAFを紹介します。

自社に合うタイプはどれか、違いを確認しながら最適なタイプを選んでください。

アプライアンス型

アプライアンス型は、ネットワーク上に設置するタイプのWAFです。

アプライアンスとは専用のハードウェアのこと。サーバーの動作環境や台数に関わらず環境構築ができる点が魅力です。大規模であれば、より高いコストパフォーマンスを得られます。

導入には機器の購入と初期設定が必要。他のタイプに比べてコストが高く、自社での運用が必須です。専任の人員とセキュリティ対策に十分な予算を確保できる企業向けのWAFと言えるでしょう。

ソフトウェア型

ソフトウェア型はWebサーバーにインストールするタイプのWAFです。専用機器の購入などが不要で、アプライアンス型に比べるとコストを抑えられます。

またネットワーク構成の見直しが不要で、導入期間を短縮できる点も魅力です。

ただし、Webサーバーごとの導入となるため、稼動数が多い場合には不向きです。運用も自社で行う必要があります。

クラウド型

クラウド型は月額または年額契約で導入可能なタイプのWAFです。

機器の購入は不要で、導入時はDNSの設定変更のみ。自社での運用も必要ありません。
低コスト・短納期で導入でき、運用コストの軽減も図れることから、他のタイプからクラウド型へ切り替える企業も増えています。

ただし利用するサービスによって、他のタイプよりも性能が劣る場合がある点には注意が必要。メリットを享受するためには、十分な事前検討が欠かせません。

WAF製品の比較ポイント

次はいよいよ製品選びの際にチェックしておきたいポイントです。

WAFを導入するにあたって何よりも大切なことは、自社に合った製品を選ぶこと。
数あるサービスの中から最適な製品を選ぶためのポイントを確認しておきましょう。

1. 初期費用と運用コスト

導入にかかる費用は、導入時の初期費用だけに目を奪われないよう注意が必要です。なぜなら、自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースもあるからです。

導入と運用のトータルでのコストを比較しましょう。自社での運用が必要な場合は、人的コストも忘れてはいけません。人員の数はもちろん、どの程度運用業務に専念する必要があるのかによってもコストは変わります。

また、単純に安ければ良いというわけではなく、性能やサービスとのバランスを見ることも大切です。

各社のWAF比較を行い、十分な機能が揃っているか、初期費用・運用コストが見合っているかシュミレーションしてみましょう。WAFメーカーでは導入前に見積もりやシュミレーションを行ってくれるところも多いので、問い合わせてみましょう。

2. 導入後の拡張性

製品の性能を比べる際には、拡張性も意識しておきましょう。Webサイトやシステムなどは、将来的に規模が大きくなる可能性があります。

その際、拡張性がないとWAFの運用が弊害となる可能性すらあります。自社の状況に合った製品を選ぶことは大切ですが、現在だけでなく将来も見据えた比較検討が必要です。

3. サポート体制の充実度

どんな製品・サービスにも共通して言えることではありますが、比較の際には導入後のサポート体制も大切な指標にしておくことをおすすめします。

性能は同様に思えても、サポート内容はセキュリティベンダーによってさまざまだからです。

特にWAFは、防御体制を常に最新の状態にしておくことが必要です。

たとえば、攻撃パターンをもとに不正アクセスを検知するブラックリスト方式であれば、シグネチャの定期的な調整が必要です。

また、安全が確認されている対象以外を排除するホワイトリスト方式であれば、パラメータの細かい設定が必要になります。

これらをどこまでサポートしてくれるのか。またそれ自体にも費用がかかるのかなど、サポート体制についてもしっかりと比較しましょう。WAFはセキュリティに関わるシステムであることから、緊急時の対応も重要なポイント。定期的なメンテナンスはもちろん、もしものときに対応ができるか確認しておくことも大切です。

4. 導入実績（導入数と企業）

WAFの製品選びでは、実績も重視したいポイントです。
導入実績が豊富ということは、それだけ多くの信頼を集めているという証。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えて良いはずです。

実績を比較する際は導入数はもちろん大切ですが、どのような企業に導入されているかも確認しておきましょう。そうすることで、自社との相性がわかりやすいかもしれません。

5. セキュリティレベルと用途のバランス

自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。

そもそもセキュリティが弱いの問題外ですが、場合によっては強すぎることが問題になることもあります。
正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があるからです。

そのため製品の比較検討は、どの程度のセキュリティレベルを求めるかを明確にしてから行う必要があります。

WAF製品を導入するコツ

自社に合ったWAFを選ぶには、次の2点が大切です。

• 最適なタイプを選ぶこと
• 比較のポイントを意識して製品選びをすること

そのためにはまず、自社の状況を把握することや、何に対してWAFの効果を期待しているのかなど、一度社内で整理しておくのが良いようです。そうすることで、より自社に合ったWAF選びができるのではないでしょうか。

WAFの必要性や、ファイアウォールなど他のセキュリティとの役割の違いなどについて詳しく知りたい方はこちらの記事をご覧ください。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます！また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。